2022 年 XNUMX 月の Android アップデートには、攻撃者が Google Pixel のロック画面をバイパスできる可能性があるバグの修正が含まれています。
発見の背後にある研究者であるデビッド・シュッツは、 Google ピクセルのセキュリティ上の欠陥 一連のエラーが原因で脆弱性を発見した後、XNUMX 月に戻ってきました。 デバイスのバッテリーが切れて死亡した後、彼は PIN を忘れていました。 再起動後、Schütz は間違った PIN 番号を XNUMX 回入力したため、SIM カード自体がロックされました。
幸いなことに、彼は今週のブログ投稿で、SIM カードを開くための工場出荷時の個人ロック解除キー (PUK) コードを含む元の SIM パッケージを持っていたと説明しました。 そこから、彼は正しい PIN を入力することなく、デバイスにアクセスすることができました。
「少し落ち着いた後、これは確かに、完全にパッチが適用された Pixel 6 の完全なロック画面バイパスであることに気付きました。古い Pixel 5 を入手して、そこでもバグを再現しようとしました。 それもうまくいきました」と彼は書いています。
Google Pixel のロック画面バイパスの脆弱性 CVE-2022-20465 で追跡されています。 シュッツによると、バイパスの手順は次のとおりです。
- 間違った PIN を XNUMX 回入力します。
- デバイスの SIM を、既知の PIN コードを使用して攻撃者が制御する SIM にホットスワップします。
- 新しい SIM の XNUMX 桁の PUK コードを入力します。
- 新しいデバイス PIN を入力します。
- プレスト! デバイスのロックが解除されます。
Schütz 氏は、その努力に対して、70,000 万ドルのバグ報奨金と自慢する権利を受け取ったと述べています。
